728x90
개요
- 2013년 Facebook社의 취약점 신고 보상 제도(버그 바운티 프로그램)을 통해 신고된 취약점 건수가 크게 증가
- 고위험도의 버그 및 취약점의 발견이 점차 어려워짐에 따라 보상금 금액을 계속 증가시킬 계획
주요내용
- 2013년 Facebook의 취약점 신고 보상 제도를 통해 신고된 버그 및 취약점 건수가 14,763건으로 2012년 대비 246% 증가함
- 14,763건 중 687건이 유효한 버그 및 취약점으로 인정받아 보상금을 지급함
- 유효한 신고건 중 6% 정도가 고위험도의 버그로 분류됨 - 고위험으로 분류된 버그들의 경우, 신고 접수 후 해당 버그가 수정되는데까지 약 6시간이 소요되었음
- 2013년 취약점 신고에 대한 보상금으로 총 150만 달러를 지급, 330명의 신고자를 대상으로 평균 2,204 달러를
지급함
- 러시아가 38건의 신고건을 통해 평균 3,961달러의 보상금으로 건당 가장 높은 보상금을 받음
- 인도가 136건으로 가장 많은 버그 신고 건수을 보였고, 그 다음으로 미국 92건, 브라질 53건, 영국 40건
순으로 많은 버그 신고 건을 보임 - 고위험도의 버그 발견이 갈수록 어려워짐에 따라 심각한 버그 및 취약점에 대한 보상금 금액을 계속 증가시킬 예정
- 2013년 접수된 주요 신고 건은 아래의 3가지임
- 외부의 악의적인 코드를 실행시킬 수 있는 XXE(XML External Entity) 공격
- 악의적인 자바스크립트를 막기 위한 필터장치를 우회하는 취약점
- 관리자 도구 페이지 등에서 복잡한 UI 구조로 인해 사용자 실수가 유발되는 문제
[출처]
1. “https://www.facebook.com/notes/facebook-bug-bounty/bug-bounty-highlights-and-updates/818902394790655”, Facebook, 2014.4.4
2. “https://threatpost.com/facebook-bug-bounty-submissions-dramatically-increase/105235”, threatpost, 2014.4.4
작성 : 침해사고대응단 침해대응기술팀
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 영국은행 금융기관대상 침투시험 계획 (0) | 2014.04.28 |
|---|---|
| 사이버 침해사고 9개 종류 구분 (0) | 2014.04.28 |
| 안드로이드 대상 정교한 부트킷 발견 (0) | 2014.04.25 |
| 웹 프로그래밍 언어의 보안성 조사 (0) | 2014.04.24 |
| 하트블리드 취약점 공격해 다중인증 우회 (0) | 2014.04.23 |